고릴라 봇넷

사이버보안 연구원들은 Mirai Botnet 의 공개된 소스 코드를 기반으로 하는 Gorilla(또는 GorillaBot)라는 새로운 봇넷 맬웨어 계열을 발견했습니다.

이 활동을 모니터링하는 전문가에 따르면, Gorilla 봇넷은 놀라울 정도로 짧은 기간 내에 300,000개 이상의 공격 명령을 실행했으며, 2024년 9월에는 놀라운 공격률을 기록했습니다. 평균적으로 봇넷은 매일 약 20,000개의 명령을 실행했으며, 특히 분산 서비스 거부(DDoS) 공격을 용이하게 하는 것을 목표로 했습니다.

DDoS 시도의 표적이 된 100개국 이상

봇넷은 100개국 이상을 표적으로 삼아 대학, 정부 웹사이트, 통신, 은행, 게임 및 도박 산업을 공격한 것으로 알려졌습니다. 가장 큰 피해를 입은 국가로는 중국, 미국, 캐나다, 독일이 있습니다.

전문가들은 Gorilla가 주로 UDP 플러드, ACK BYPASS 플러드, Valve Source Engine(VSE) 플러드, SYN 플러드, ACK 플러드와 같은 방법을 사용하여 DDoS 공격을 수행한다고 지적합니다. UDP 프로토콜의 연결 없는 특성은 임의의 소스 IP 스푸핑을 가능하게 하여 상당한 양의 트래픽을 발생시킵니다.

ARM, MIPS, x86_64, x86 등 여러 CPU 아키텍처를 지원하는 것 외에도, 이 봇넷은 미리 정의된 5개의 명령 및 제어(C2) 서버 중 하나에 연결하여 DDoS 명령을 수신하는 기능을 갖추고 있습니다.

취약점 및 지속성 메커니즘 악용

주목할 만한 발전으로, 이 맬웨어는 Apache Hadoop YARN RPC의 보안 취약성을 악용하는 기능을 통합하여 원격 코드 실행을 달성할 수 있습니다. 이 특정 결함은 적어도 2021년부터 야생에서 악용되었습니다.

호스트에서 지속성을 보장하기 위해 맬웨어는 /etc/systemd/system/ 디렉토리에 custom.service라는 서비스 파일을 생성하는데, 이 파일은 시스템 시작 시 자동으로 실행되도록 구성되어 있습니다. 이 서비스는 원격 서버(pen.gorillafirewall.su)에서 lol.sh라는 셸 스크립트를 다운로드하고 실행하는 작업을 담당합니다. 또한, 유사한 명령이 /etc/inittab, /etc/profile, /boot/bootcmd 파일에 삽입되어 시스템 시작 시 또는 사용자 로그인 시 셸 스크립트를 다운로드하고 실행할 수 있습니다.

이 맬웨어는 다양한 DDoS 공격 방법을 도입하고 Keksec 그룹에서 일반적으로 사용하는 암호화 알고리즘을 사용하여 중요한 정보를 숨깁니다. 또한 IoT 기기와 클라우드 호스트에 대한 장기적 제어를 유지하기 위해 여러 기술을 활용하여 새로운 봇넷 패밀리에서 일반적으로 나타나는 대응 탐지 조치에 대한 정교한 인식을 반영합니다.

일부 보안 연구원들은 Gorilla Botnet 맬웨어가 전혀 새로운 것은 아니며 1년 이상 활동해 왔다고 말합니다.